計算機網絡安全中的防火墻技術分析

張 靜 / 山東協和學院

計算機網絡安全中的防火墻技術分析

張 靜 / 山東協和學院

隨著網絡技術的迅猛發展, 安全性已成為網絡互聯技術中的關鍵問題。本文介紹了防火墻的定義, 較全面論述了防火墻的分類及防火墻在計算機網絡安全中的應用價值, 簡要分析了防火墻在計算機網絡安全中的優勢。

網絡安全；防火墻；包過濾

引言

計算機網絡安全問題主要有：信息在傳輸的過程中，數據被篡改和復制，以及攔截和查看，甚至遭受惡意的病毒攻擊等。這些安全問題嚴重影響著計算機網絡的正常運行，出現系統癱瘓或重要數據的泄漏，造成不可挽回的嚴重后果。為了構建安全可靠的網絡安全環境，我國除了從法律和政策方面建立網絡安全體系，還從技術方面進行完善。由于網絡內部和外部環境的特殊性，因此防火墻技術是目前保護網絡安全最為有效的技術。不僅能夠對網絡傳輸的數據進行檢查，還能對整個網絡進行監控。

1.防火墻概述

防火墻是一個軟硬件結合的系統，處于專用網和公用網之間，為內部網構造一個安全屏障。其主要原理即在Intranet和Internet間建立一個安全網關，以達到保護內部網用戶免受非法用戶侵入的目的。

對一臺聯網計算機來說，所有進出的數據都必須經過一個特定的軟硬件設備，這個設備就是防火墻。

對一個網絡而言，所謂“防火墻”，是一套特定的方法和技術，能將內部網和外部網隔離開來。防火墻能在兩個相互通信的網絡之間建立一個訪問控制，它能實現兩個功能，一將不符合條件的用戶或數據隔離在網絡外部，二允許符合條件的用戶或數據進入內部網。換句話說，數據通過防火墻，是內部網成員與外部通信的必要條件。

2.防火墻分類

按過濾和檢測方式的不同，防火墻可分為包過濾型防火墻、狀態檢測型防火墻、網絡地址轉換型防火墻以及應用代理型防火墻。

2.1 包過濾型防火墻

包過濾型防火墻工作在 OSI 參考模型的網絡層和傳輸層,它根據數據包頭源地址, 目的地址, 端口號和協議類型等標志確定是否允許通過, 只有滿足過濾條件的數據包才被轉發到相應目的地,其余數據包則被阻擋丟棄。包過濾的優點是:一個過濾路由器能協助保護整個網絡; 數據包過濾對用戶透明;過濾路由器速度快、效率高。缺點在于只能根據數據包的來源、目標和端口等網絡信息進行判斷, 不能徹底防止地址欺騙; 一些應用協議不適合數據包過濾; 正常的數據包過濾路由器無法執行某些安全策略; 不能防范黑客攻擊, 不支持應用層協議, 不能處理新的安全威脅。

2.2 狀態檢測型防火墻

狀態檢測型防火墻基于連接的狀態檢測機制, 將屬于同一連接的所有包作為一個整體的數據流看待, 構成連接狀態表, 通過規則表與狀態表的配合, 對表中的各個連接狀態因素加以識別。這種動態連接表中的記錄可以是以前的通信信息, 也可以是其他相關應用程序的信息, 因此, 與傳統包過濾防火墻的靜態過濾規則表相比, 它具有更好的靈活性、安全性、可伸縮性和擴展性以及應用范圍廣等優點。缺點是所有這些記錄、測試和分析工作可能會造成網絡連接的某種遲滯, 特別是在同時有許多種連接激活的時候, 或者是有大量的過濾網絡通信的規則存在時。

2.3 網絡地址轉換（NAT）型防火墻

NAT 是一種用于把 IP 地址轉換成臨時的外部的、注冊的 IP的地址標準, 用戶必須要為網絡中每一臺機器取得注冊的 IP 地址。在內部網絡通過安全網卡訪問外部網絡時, 系統將外出的源地址和源端口映射為一個偽裝的地址和端口與外部連接, 這樣對外就隱藏了真實的內部網絡地址。在外部網絡通過非安全網卡訪問內部網絡時, 它并不知道內部網絡的連接情況, 而只是通過一個開放的 IP 地址和端口來請求訪問。防火墻根據預先定義好的映射規則來判斷這個訪問是否安全和接受與否。NAT 過程對于用戶來說是透明的, 不需要用戶進行設置, 用戶只要進行常規操作即可。

2.4 應用代理型防火墻

應用代理型防火墻是工作在 OSI 的最高層即應用層。其特點是完全"阻隔"了網絡通信流, 通過對每種應用服務編制專門的代理程序, 實現監視和控制應用層通信流的作用。其優點是安全性較高, 可以針對應用層進行偵測和掃描, 對付基于應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響, 代理服務器必須針對客戶機可能產生的所有應用類型逐一進行設置,因而增加了系統管理的復雜性。

3.防火墻在計算機網絡安全中的優勢

防火墻技術與其他計算機網絡安全技術相比，具有明顯的優勢，在安全防護中占據主要地位，提升計算機網絡的防護水平。

3.1 準確識別網絡攻擊

計算機網絡面臨的安全攻擊來自于不同層次，攻擊種類呈現多樣化的發展趨勢，防火墻技術在不斷變化的攻擊行為中，主動識別攻擊路徑和方式，判斷攻擊行為的屬性，提出有效的保護措施，防火墻技術處于更新、升級的狀態，適應變化過快的攻擊行為，體現準確識別的優勢，保護計算機網絡處于安全的環境中，優化計算機的運行，防止網絡數據被惡意損壞、竊取。

3.2 高效保護網絡系統

防火墻技術在計算機網絡安全中具有較高的保護能力，表現出高效的保護水平。攻擊者對計算機網絡采取的攻擊行為并不確定，防火墻迅速覺察具有危險性的攻擊活動，在最短的時間內防止網絡系統被攻擊，一方面維持計算機網絡系統的安全運行，另一方面保障計算機網絡系統的整體性能，強化網絡結構，體現高效率的保護能力。

4.防火墻在計算機網絡安全中的應用價值

防火墻技術在計算機網絡安全中確實得到廣泛應用，體現防火墻技術的高效價值。針對防火墻技術的應用價值，做如下分析：

4.1 代理技術的應用價值

防火墻中的代理技術，具有一定的特殊性，其可在計算機網絡運行的各項模塊發揮控制作用，時刻體現強效狀態。代理技術的價值體現為：該技術在內外網之間發揮中轉作用，計算機網絡的內網部分，只接受代理部分發出的請求，而外網請求直接被拒絕，該技術在內網、外網的分割方面，發揮主要作用，杜絕出現內外混淆的現象，所以代理技術在實現應用價值方面，同樣面臨技術壓力。

4.2 檢測技術的應用價值

檢測技術以計算機網絡的狀態為主，屬于新技術領域。檢測技術的運行建立在狀態機制的基礎上，將外網傳入的數據包作為整體，準確分析數據包的狀態內容，檢測技術將分析結果匯總為記錄表，分為規則和狀態，比對兩表后識別數據狀態。目前，檢測技術應用于各層網絡之間，獲取網絡連接的狀態信息，拓寬計算機網絡安全保護的范圍，由此提高網絡信息的運行效率。

4.3 協議技術的應用價值

協議技術主要是防止Dos攻擊，Dos攻擊容易導致計算機網絡以及服務器陷入癱瘓狀態，促使計算機網絡無法正常提供運行信息，此類攻擊沒有限制要求，基本處于無限制攻擊狀態。防火墻利用協議技術，在此類攻擊中發揮主體保護，在協議技術參與下的防火墻技術，保護計算機的內部網絡，提供各類網關服務，網關是連接服務器與信息的直接途徑，待防火墻回應后，服務器才可運行。防火墻促使服務器處于高度安全的環境中，規避外網攻擊，例如：當外網向內網發送請求信息時，防火墻通過SYN設置訪問上限，降低服務器承擔的攻擊壓力，同時完成數據包檢測。

5.結束語

總而言之，隨著計算機網絡的快速發展和運用，網絡為人們帶來便捷的同時，也帶來了一定的安全問題。由于網絡安全不僅與技術和管理有聯系，對網絡的使用和維護等也有聯系。雖然目前防火墻技術是防止網絡威脅的主要手段，但是由于網絡安全存在多方面，僅依靠防火墻技術是無法滿足人們對網絡安全的需求，因此，只有將網絡安全與防火墻技術結合進行研究，才能提供更好的安全服務。

[1]孟慶威.淺析計算機網絡安全技術[J].計算機光盤軟件與應用,2013(6):170-171.

[2]王德山,王科超.試論計算機網絡安全中的防火墻技術[J].網絡安全技術與應用,2013(7):61-62.

[3]邵澤云,曹來成.網絡防火墻新技術的發展與應用研究[J].信息安全與技術,2015(05):119-121.

[4]李江華.防火墻技術更新研究[J].集寧師范學院學報,2016(02):64-65.

[5]吳文臣.防火墻技術及其在網絡安全中的應用[J].信息通信,2017(01):19-20.

張 靜(1985－)，女，山東濟寧人，碩士研究生，講師，主要研究方向：計算機網絡，網絡防火墻，VPN。

2017年山東協和學院實驗室開放項目(項目編號2017SYKF53)。